jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CS Query: Detect locally disabled RTR

CS Query: Detect locally disabled RTR

Threat-actor 2 min lectura attack-pattern
Fecha
25 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

CS Query: Detect locally disabled RTR

Descripción de la Tecnica

CS Query: Detect locally disabled RTR es una técnica de detección basada en el análisis del evento SensorHeartbeat del CrowdStrike Falcon, utilizada para identificar cambios no autorizados en el estado del RTR (Real-Time Response). Este mecanismo permite detectar cuando un componente crítico del sistema operativo está desactivado localmente, lo que podría indicar una actividad maliciosa.

Como Funciona

La técnica analiza los registros del SensorHeartbeat para agrupar eventos por aid (attack ID) y extraer banderas específicas de SensorStateBitMap. La lógica se centra en la extracción de flags como RTR_Locally_Disabled, que indica si el RTR fue desactivado localmente. Si este flag es true, se genera una alerta.

Actores que la Utilizan

Esta técnica está relacionada con los subgrupos de MITRE ATT&CK bajo Lateral Movement. Actores como grupos APT o amenazas persistentes pueden utilizar este método para mantener acceso a un sistema, desactivando componentes críticos como el RTR para evitar detección.

Detección

La detección se basa en la consulta FQL (Falcon Query Language) proporcionada. El análisis de los registros del SensorHeartbeat permite identificar cambios anómalos en el estado del RTR, lo que podría señalar una violación de seguridad o un ataque en curso.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

La mitigación incluye la monitorización constante del estado del RTR, el control de acceso a componentes críticos y la actualización periódica de las reglas de detección. Además, se recomienda utilizar herramientas de ciberseguridad avanzadas como CrowdStrike Falcon para detectar cambios no autorizados en el sistema.

Query CrowdStrike Falcon

Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.

#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/ | CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i | table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4]) | sort(@timestamp, order=desc)

FQL pivots

event_simpleName:ProcessRollup2 CommandLine:powershell event_simpleName:CommandHistory CommandLine:certutil event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox www.progress-security.com12 Jun 2026 · krybit aisem.gob.bo12 Jun 2026 · krybit University of Nottingham11 Jun 2026 · breach